1

Introduktion tilMPLS

Henrik Thomsen/EUC MIDT

2005

VPN -Traffic Engineering

2

Datasikkerhed

Kryptering

Data sikkerheds begreber

• Confidentiality - Fortrolighed– Kun tiltænkte modtagere ser indhold

• Authentication – Pålidelighed – Data modtaget er det samme som afsenderen sendte,

samt at afsenderen er den rigtige afsender.

• Integrity Checking – Helheds check– At data ikke er blevet ændret mellem afsender og

modtager

• Non-Repuditation – Ikke fornægtelse– Afsender kan ikke senere nægte at have sendt data

3

Tunneling

• En tunnel er en vej mellem to enheder – typisk to Gateways – hvorigennem trafik kan passere uændret.

Kryptering

• At kryptere en besked er at prøve at gøre beskeden umulig at læse mellem afsender og modtager

• At de-kryptere en besked er at gøre den læselig igen.

4

Kryptering og Tunneling

• Kryptering sikrer uvedkommende tyder data• Kryptering af hele IP pakken, sikrer hemmeligholdelse

af identitet på afsender og modtager. (Originale IP adresser)

Symmetrisk og Asymmetriske nøgler

• Symmetrisk nøgle– Samme nøgle anvendes til kryptering og

dekryptering– Udveksling af hemmelige nøgler en

sikkerheds risiko• Asymetriske nøgler

– Forskellige nøgler anvendes til kryptering og dekryptering

– Udveksling af offentlige nøgler ingensikkerheds risiko.

5

Asymmetriske nøgler

• Alice sender Bob sin offentlige nøgle i en almindelig mail

Usikkert netværk(Internettet)

Kære Alice

Konto er 445542Pin kode er 2345

HilsenBob

Bob

0x,fAkwle#kfwjef9kSsdkSjEDfs98,w2jksEjdFbq3s<dkjhbYwuh329+8ihF¤GO.uGwe)fkjFwe923>9QH8

0x,fAkwle#kfwjef9kSsdkSjEDfs98,w2jksEjdFbq3s<dkjhbYwuh329+8ihF¤GO.uGwe)fkjFwe923>9QH8

Kære Alice

Konto er 445542234Pin kode er 2345

HilsenBob

Alice

Kryptering medAlices offentlige

nøgle

De-kryptering medAlices hemmelige

nøgle

XYZ12345 ABC98765

Nøglerne fungerer matematisk ved at anvende meget store primtal. (200 cifre eller mere)Alice kan sende data til Bob, ved at få hans offentlige nøgle

IPsec: IP Security Architecture

• IPsec er et end-to-end sikkerheds system– Kan anvendes mellem IP Hosts og/eller Gateways

• IPsec giver– Confidentiality – Kryptering– Authentication – Afsenders identitet – Integrity Checking – Data modtaget = data sendt– Replay protection – Optaget data kan ikke

gensendes

• IPsec anvender tunneling og kryptering– IP datagrammet pakkes ind i en ny IP pakke

6

IPsec: IP Security Architecture

• IPsec er en tilføjelse til IPv4• IPsec er indbygget i IPv6 som standard• IPsec anvendes ofte i forbindelse med L2TP

– Layer 2 Tunneling Protocol– PPP protokollen som er en data link protokol

sendes også gennem tunnelen. (Validering PAP, CHAP)

• IPsec kan anvendes med en Preshared Key– Forhåndsdelt nøgle som indtastes.

Mere information

Hvis du vil finde mere information om sikkerhed, vira mv. kan du prøve følgende hjemmesider:http://www.icsalabs.com/ oghttp://www.symantec.com/avcenter/

Her kan du også følge med i den aktuelle situation omkring sikkerhedstruslerne på ’nettet’

7

MPLS

Multi Protocol Label Switching

MPLS - Princip– IP Pakken udvides med en 32 bits MPLS Label i Kant Routere.– Routere undervejs switcher på Label der peger mod modtager.

• Label forwarding/Switching er simplere end IP Forwarding.– Simplicitet i Backbone, kompleksitet i kant Routere– Lukket kommunikation mellem Viborg og Frederiksberg. (VPN)

• Virtual Private Network

8

TDC’s VPN MPLS løsning

• Kundens lokationer bindes sammen i lukket netværk.– Transport via IP-nettet i lukket gruppe.

• Internet adgang laves separat.• Hastigheder fra 512 Kbps til 1 Gbps• Eksisterende adresseplan bevares.

– IP adresser uden betydning da pakker Lables

*Oplysninger indhentet 13/08/2004

MPLS Begreber

• Forwarding Component– Har ansvaret for overførsel af MPLS pakker– Vej mellem afsender og modtager er fastsat.– En vej mellem to MPLS endepunkter kaldes

en LSP (Label Switch Path)– En LSP er Unidirektionel.

• Der skal anvendes en LSP i begge retninger for bidirektionel kommunikation

9

MPLS Begreber

• Control Component– Har ansvaret for at finde vej mellem afsender

og modtager. Én gang for alle pakker• Ikke som IP Forwarding, hvor hver pakke lever sit

eget liv.

– LDP - Label Distribution Protocol• Etablerer en best effort LSP.

– RSVP – Ressource Reservation Protocol• QoS og Traffic Engineering er mulig.

MPLS – Forwarding Component– LER: Label Edge Router

• Ingress LER: Sætter label på IP Pakke• Egress LER: Fjerner label fra Pakke

– LSR: Label Switch Router• Sender Pakke videre til næste MPLS enablede Router

10

MPLS – Forwarding Component

– LIB: Label Information Base• LSR/LER har informationer om alle Labels den må bære• Label udskiftes i LSR til Label der passer med nabo LSR

– Nabo LSR’er har aftale om Labels der må bæres på Link imellem dem

Kunde A - Viborg Kunde A - Frederiksberg

LSR LSR

LSRLSR

IP opsamlingsnet (Kant Routere)

IP Net Backbone

IP pakkeMPLS labeled

IP pakkeMPLS labeled

IP pakkeMPLS labeled

IP Pakke IP PakkeIP Pakke IP Pakke

LER LER

Ingress Egress

MPLS – Et eksempel

11

MPLS - Header

• Uafhængig af Lag 2 teknologi• Ved overførsel via ATM anvendes VPI/VCI som label• CoS: Class of Service

– IP CoS kan kopieres ind i MPLS Header• S: Stack

– Der kan være flere Labels. Flere MPLS Headere.• S = 1 – Sidste label• S = 0 – Der er flere labels

• TTL: Time To Live– Som ved IP. Antal HOP

RFC2547bis

• En MPLS VPN løsning• Meget skalerbar

– Mange kunder. (100.000 – 1.000.000)

• Store VPN løsninger– Op til tusinder af tilslutninger pr. kunde.– VPN – Virtual Private Network

12

MPLS – Et lukket netværk

Kunde B172.16.0.0/16

P1

P2

Kunde A172.16.0.0/16

P4

P5

P6

P2

P1

Kunde A172.17.0.0/16

P3Kunde B

172.17.0.0/16

LER2

LER1

P2

P1

Kunde A172.18.0.0/16

LER2

LSR2LSR

LSR

LSR3

LSR1

P1 P1

P4 P1

P3

Kunde B172.18.0.0/16

Provider

MPLS – Flere labels

• MPLS Label 1 sættes på ”Pushes” på Ingress Router• Flere Labels kan sættes på ”Pushes”• Anvendes til at tunnelle gennem backbone net.• Labels kan Pushes og Popes af MPLS Routere.• Ingres LER Pusher 2 labels

– Label 1 anvendes af Egrees LER til at identificere VPN kunde– Label 2 anvendes af LSR’ere til at finde vej mellem Ingres og

Egrees Routere– Label 2 anvendes som tunnel mellem LER’ere

13

MPLS – Flere labels

MPLS – Control Component

• MPLS fungerer i et konvergeret netværk– Anvender for eksempel BGP som IGP– Nyere på stammen er MP-BGP

• Multi Protocol BGP

14

Hvad er et VPN

• Et VPN er et antal tilslutninger til et Backbone net som må udveksle trafik.

• Medlemmerne i et VPN må ikke udveksle trafik med andre.

• Et privat net.• Et VPN er defineres af et sæt regler der

– Definerer connectivitet og QoS mellem tilslutninger i VPN’et.

Traffic Engineering

• Kunsten at vælge bestemte veje gennem netværket for at– Få en optimal udnyttelse af

netværksressourcer.

• Routenings protokoller er ikke perfekte– IGP’ere udnytter ikke alle Links optimalt

• MPLS giver mulighed for at angive den eksakte vej gennem nettet

15

TDC VPN kunde løsninger

• Routerbaseret VPN– VPN forbindelsen etableres imellem CPE

Routerne.– Kan anvendes på alle tilslutninger til Internet

• Netbaseret VPN– Anvender MPLS VPN mellem sites– Giver større sikkerhed